Tras las decisiones que han tenido lugar recientemente en Europa por las autoridades de control en materia de protección de datos, en concreto las resoluciones de Austria y Francia en la que se establecía que el uso de Google Analytics es ilegal en el marco del RGPD; ahora la autoridad austriaca va más allá.
En su nueva resolución, la autoridad austriaca ha rechazado los argumentos de Google que consistían en el establecimiento de un “enfoque basado en el riesgo” y en la “anonimización IP”.
Respecto del “enfoque basado en el riesgo”, la autoridad establece que es inútil para las transferencias de datos entre la UE y EEUU, ya que el RGPD no incluye el “enfoque basado en el riesgo” como garantía para las transferencias de datos a terceros países inseguros (como es el caso de EEUU).
En este sentido, el Abogado del demandante (NOYB, organización fundada por Max Schrems) ha considerado esta herramienta como “un torpe intento de suavizar la clara jurisprudencia del TJUE. Los artículos relevantes sobre transferencias de datos no usan la palabra «riesgo» ni una sola vez».
Por lo que respecta a la anonimización de IP que Google alega, la autoridad ha considerado que no sirve para proteger los datos personales en tanto que los sitios web igualmente podrían acceder a los datos personales a través de cookies o los datos del dispositivo. Además, la anonimización de la IP solo se produce una vez que los datos ya se han transferido a Google.